La biometría —la medición de características físicas o de comportamiento únicas— ha experimentado un auge en los últimos años. Esta tecnología, empleada para verificar identidad, controlar accesos o autenticar usuarios, plantea importantes cuestiones jurídicas y éticas en el marco del Reglamento General de Protección de Datos (RGPD). En esta entrada, abordamos los conceptos esenciales, los debates más relevantes, ejemplos recientes y por qué resulta indispensable una formación superior de alto nivel para enfrentarlo con responsabilidad. El Máster en el RGPD de la UNED en colaboración con la AEPD tiene abierta su reserva de plaza 2026.
¿Qué se entiende por datos biométricos y por qué son especiales?
Según el RGPD, los datos biométricos son una categoría especial de datos personales (artículo 9), caracterizados por su capacidad de identificar de forma unívoca a una persona. Ejemplos claros son las huellas dactilares, escaneo del iris, reconocimiento facial o de voz.
Estos datos se consideran sensibles por varias razones: son irreversibles —no pueden "cambiarse"—, su robo puede comprometer permanentemente la privacidad y, una vez expuestos, no se revierten con un simple reseteo, como sí sucede con una contraseña y algunas de estas tecnologías pueden llegar a acumular cientos de características físicas de los interesados o incluso inferir predecir o utilizar datos de salud de los interesados.
Las condiciones del RGPD para tratar datos biométricos
El artículo 9 del RGPD prohíbe el tratamiento de datos biométricos salvo excepciones muy limitadas: necesidad para fines de interés público, consentimiento explícito, situaciones jurídicas o médicas, entre otras. Además, cuando se utilizan, suele exigirse:
1. Evaluación de impacto (EIPD): obligatoria si el tratamiento presenta riesgo alto para los derechos.
2. Privacidad desde el diseño: incluir medidas técnicas desde el desarrollo del sistema.
3. Seguridad reforzada: cifrado, acceso restringido y eliminaciones controladas.
Debates centrales: proporcionalidad, transparencia y consentimiento
Proporcionalidad y existencia de alternativas
Un tema recurrente es si la utilización de biometría es necesaria y proporcional. En España, la AEPD estimó que el reconocimiento facial obligatorio en exámenes online no era adecuado e idóneo, debido a falta de justificación ya que existían medios alternativos menos invasivos.
Lo mismo ocurre con sistemas de control horario: la guía de la AEPD para la utilización de huellas biométricas estableció que el consentimiento no es válido y que existen soluciones equivalentes que no precisan utilizar categorías especiales de datos como son los datos biométricos. No es suficiente contar con una base jurídica y es preciso antes demostrar que existe un motivo sólido para levantar la prohibición de tratar categorías especiales de datos.
Transparencia y consentimiento informado
El consentimiento para recolectar datos biométricos debe ser explícito y específico. Las organizaciones deben informar con claridad sobre el fin, consecuencia y duración del tratamiento, así como garantizar al usuario el derecho a retirar su consentimiento. Sin embargo, el consentimiento no siempre es válido y se encuentra sujeto a las condiciones que exige el RGPD.
Nivel de riesgos y brechas irreparables
El potencial de daño de las brechas biométricas es especialmente grave. Ejemplos como filtraciones en sistemas de huellas y datos del iris durante conflictos (caso Afganistán o bases de datos Biostar2) reflejan que este tipo de información requiere protección aún más rigurosa.
Casos ilustrativos recientes
La Liga y el reconocimiento en estadios: En marzo de 2025, la AEPD multó a la Liga de Fútbol Profesional con 1 millón de euros y suspendió temporalmente el reconocimiento facial en las gradas, tras denuncias por falta de impacto demostrado y ausencia de EIPD válida. Un claro ejemplo de cómo una aplicación masiva sin garantías suficientes puede infringir el artículo 35 del RGPD.
Clearview AI: biometría masiva en la mira europea: La empresa Clearview AI, que construyó una base de datos facial a partir de internet, fue sancionada por la autoridad de Hamburgo y prohibida su recolección en la UE, mostrando la aplicación extraterritorial del RGPD.
Intento de vigilancia en exámenes online: Ya mencionado, en 2025 la AEPD reiteró que el reconocimiento facial para evitar fraude académico no está justificado y cae fuera de los límites legales.
Riesgos y perspectivas tecnológicas
Además de los casos locales, las tecnologías biométricas avanzadas presentan riesgos globales:
Deepfakes: utilización de IA para generar falsificaciones faciales que vulneran el consentimiento y facilitan la suplantación.
Bases de datos masivas: aplicación no controlada de imágenes obtenidas sin consentimiento.
Reconocimiento facial en espacios públicos: implementaciones en estadios o aeropuertos que no respetan la proporcionalidad.
Las autoridades, bajo el nuevo AI Act europeo, endurecen el marco para sistemas biométricos "de alto riesgo", hasta prohibir expansiones sin regulación.
¿Qué pueden hacer las organizaciones para cumplir?
1. Realizar una EIPD rigurosa, priorizando necesidad, proporcionalidad y garantías.
2. Implementar medidas de minimización y anonimización.
3. Garantizar transparencia continua, no solo inicial, informando de cambios de tratamiento.
4. Formación continua de los encargados de sistema, DPOs y responsables de tratamiento.
Estos pasos requieren expertos que dominen el RGPD y su interacción con la IA y otras tecnologías. Es decir, se demandan profesionales con el nivel de preparación extendido por el Máster en el Reglamento General de Protección de Datos de la UNED.
La formación como respuesta
Con este panorama, queda claro que solo una formación especializada puede preparar a profesionales de alto nivel. El Máster en el Reglamento General de Protección de Datos (RGPD), organizado por la UNED ofrece una formación integral actualizada. Este programa es indispensable para quienes deseen liderar el diseño e implementación de tratamientos de datos biométricos dentro del marco legal vigente. La reserva de plaza para la edición 2026 ya está disponible.
Como conclusión
La biometría aporta eficiencia y seguridad, pero también genera desafíos sin precedentes en materia de privacidad. El RGPD impone restricciones estrictas para su implementación, especialmente en el tratamiento de datos biométricos, considerados de categoría especial. Los casos recientes —como los exámenes online, el control en estadios y el rechazo a sistemas masivos— evidencian la necesidad de formarse adecuadamente para garantizar derechos fundamentales y dotar de seguridad jurídica a las entidades responsables.
